Como parte de uma atualização do OpenSSL liberada hoje, foi divulgada uma falha de segurança que afeta servidores que usam SSL e TLS, algumas principais ferramentas de criptografia da internet. Chamada de DROWN, a vulnerabilidade afeta 33% dos servidores, incluindo sites como Yahoo, Alibaba, BuzzFeed e Flickr.

A falha de segurança é semelhante ao Heartbleed, considerada a mais grave da história da internet, embora afete uma porcentagem menor dos servidores. Por meio dela, atacantes podem interceptar comunicações encriptadas de sites HTTPS, potencialmente roubando dados como senhas ou informações de cartões de crédito. A lista dos principais sites vulneráveis pode ser vista aqui.

Segundo o site, um ataque que explore essa vulnerabilidade pode ser realizado em menos de um minuto. Os detalhes técnicos da falha de segurança podem ser vistos por meio desse link (pdf). Para prevenir servidores contra esse ataque, é recomendável desativar o SSLv2 do servidor, e garantir que a chave criptográfica dele não seja compartilhada por outros servidores.

S é de Segurança

Tanto o DROWN quanto o Heartbleed são falhas no protocolo de criptografia OpenSSL, que é usado para garantir o sigilo de informações de boa parte da internet. Esse protocolo permite o uso da encriptação SSL (Secure Sockets Layer), que é responsável pelo “S” de HTTPS.

Comunicações enviadas de e para sites HTTPS são criptografadas. Por esse motivo, mesmo que elas sejam interceptadas, elas não serão inteligíveis ao usuário que as interceptou. As duas falhas, no entanto, permitem que os dados enviados dessa maneira sejam tento interceptados quanto decriptados, comprometendo a segurança da informação.